Você já leu um código QR com seu dispositivo inteligente sem pensar nas consequências? Eles são muito convenientes para abrir links e fazer pagamentos, mas também apresentam sua parcela de riscos. Você pode ser um dos milhões que usam essa tecnologia diariamente, mas já pensou no perigo que pode estar por trás de usá-la sem pensar duas vezes?
Neste artigo discutiremos o conceito de “Quishing” e como os ataques são realizados por meio de códigos QR. Aprenderemos como funcionam esses ataques e como podem ser afetados indivíduos e empresas. Nosso objetivo é conscientizar sobre essa ameaça crescente e fornecer conselhos práticos para proteger os usuários de serem vítimas desses ataques. Verificar Phishing, SMS fraudulentos e chamadas telefônicas fraudulentas: qual é a diferença?
O que são ataques Quishing?
Quishing é uma combinação das palavras “QR” e “phishing”.
Um ataque Quishing ocorre quando um fraudador comete um ataque de phishing por meio de um código QR, que é ativado quando é digitalizado. Já cobrimos anteriormente o que é Anulando ataques Como detectá-lo, mas esta forma perigosa de phishing está testemunhando um aumento notável no número de vítimas em todo o mundo.
Como um ataque Quishing pode causar perdas financeiras?
Quishing é perigoso porque a maioria dos usuários não considera a leitura de códigos QR um risco. Como tal, é mais provável que sigamos as instruções de um código QR e acessemos qualquer URL ou serviço ao qual o código QR esteja vinculado. Uma falsa sensação de segurança permite que fraudadores ataquem áreas onde as pessoas usam um código QR para efetuar pagamentos. O fraudador estuda o site ao qual o código QR está vinculado, cria uma duplicata e, em seguida, substitui o código QR legítimo para apontar para seu próprio site clonado.
Quando a vítima escaneia o código QR falso, ela é levada ao site falso, pensando que está visitando um site legítimo. O site falso solicita dados pessoais, incluindo informações de pagamento. Assim que os golpistas tiverem esses dados, eles poderão fazer compras usando a conta bancária da vítima.
GOLPE DO CARTÃO POSTAL!!!
GRANDE SCAM DA AMAZÔNIA !!!!!
Repasse para TODOS!
NÃO USE O CÓDIGO QR NESTE CARTÃO POSTAL! pic.twitter.com/AFbwZWA0ps
-D (@newmediaguynyc) 16 de fevereiro de 2024
Alguns exemplos de ataques Quishing
Roubar milhares de dólares por meio de uma leitura QR ruim parece ficção científica, mas é realidade. Abaixo estão algumas das medidas de ataque mais comuns usadas por golpistas.
1. Ataques a parquímetros e pontos de carregamento
Alguns parquímetros e pontos de carregamento usam códigos QR como parte do processo de pagamento. Para pagar a taxa, você deve escanear um código que o direciona a um site de pagamento ou aplicativo para download.
🚨Alerta de Golpe🚨
Os detetives de crimes financeiros da APD estão investigando depois que adesivos de código QR fraudulentos foram descobertos nos parquímetros públicos da cidade de Austin. As pessoas que tentam pagar pelo estacionamento usando esses códigos QR podem ter sido direcionadas para um site fraudulento e efetuaram um pagamento. pic.twitter.com/Gb8gytCYn7— Departamento de Polícia de Austin (@Austin_Police) 3 de janeiro de 2022
O golpista sequestra esses códigos QR colando sua cópia maliciosa sobre o original. Quando alguém vai pagar pelo estacionamento ou pela eletricidade, ele escaneia códigos QR incorretos, insere seus detalhes de pagamento no site ou aplicativo falso e, sem saber, envia-os ao golpista.
Pode parecer irreal que as pessoas possam perder milhares devido a esses golpes, mas isso já aconteceu antes. Conforme relatado pelo canal ITV, uma pessoa perdeu £ 13000 (US$ 16500) após escanear um código QR incorreto fornecido em um parquímetro.
2. Ataques de código QR via e-mail
Às vezes, o golpista envia um e-mail com um código QR anexado. O golpista irá convencê-lo a digitalizá-lo; Por exemplo, eles podem afirmar que o objetivo é baixar um aplicativo importante ou alegar que são obrigados a pagar pelas autoridades. Quando uma vítima escaneia um código QR, ela é direcionada a um site ou aplicativo falso solicitando informações de cartão de crédito.
Relatado Pesquisa de ameaças da HP Este método de ataque teve um aumento na China em 2022, com um e-mail alegando que o destinatário tinha direito a um subsídio governamental. O processo exigia que os usuários fornecessem informações completas do cartão de crédito, incluindo detalhes do saldo atual.
3. Geradores de códigos QR falsos
Em alguns casos, o golpista configura um gerador de código QR falso para enganar as pessoas. Isso geralmente acontece quando as pessoas conseguem usar códigos QR para solicitar pagamentos, onde um golpista pode invadir suas contas em vez dos geradores originais.
Eu reportei BitDefender Sobre um exemplo em que vários sites configuram geradores de códigos QR falsos para carteiras Bitcoin. O site solicitou ao usuário o ID da carteira e prometeu gerar um código QR que o pagador poderia facilmente escanear e usar para enviar criptomoeda quando na realidade o código apontava para a carteira Bitcoin do golpista. Verificar Coisas divertidas para fazer com um código QR.
Como verificar se um código QR é seguro
Pode parecer assustador, mas você pode impedir os golpes antes que eles tenham acesso às suas informações financeiras com algumas dicas fáceis de segurança. Verificar Maneiras eficazes de evitar que você seja vítima de golpes por SMS.
Verifique se o código QR foi adulterado
Se você estiver digitalizando um código QR em um local público, certifique-se de que o código não mude. Procure sinais de que alguém colou um adesivo sobre o código QR original; Se isso acontecer, não leia o código QR.
Da mesma forma, se você estiver criando um código QR para receber pagamentos, digitalize o código QR você mesmo e verifique se os pagamentos estão indo para onde você acha que irão.
Verifique novamente o URL ou site após escanear o código QR
Depois de escanear o código QR, verifique novamente o URL ou site que aparece. O site do golpista terá um URL de aparência estranha ou não "parecerá certo". Siga os passos para verificar se é O site é seguroSe algo parecer suspeito, não insira nenhuma informação de pagamento no site.
Encontre métodos alternativos de pagamento
Se o código QR parecer suspeito ou se você preferir não correr o risco, encontre outra forma de pagar. Por exemplo, se um código QR afirma levar você a um aplicativo, pesquise-o manualmente na loja de aplicativos do seu telefone. Se o destinatário permitir métodos de pagamento alternativos, use-os ou pergunte a um membro da equipe sobre eles.
Abafar ataques pode custar muito dinheiro, mas a melhor defesa contra eles é saber como funcionam e o que procurar. Se o código QR levar você a algum lugar suspeito, não insira suas informações de pagamento. Você pode ver agora Como criar facilmente um código QR atraente usando inteligência artificial.